 |
ⓒ게티이미지뱅크 |
보험 영업지원 시스템 개발·관리업체 '지넥슨'발 해킹 피해가 커질 것이란 우려가 나온다. 지넥슨의 보안사고로 계정 정보(아이디·비밀번호) 등이 유출된 법인보험대리점(GA)에 현재까지 확인된 2곳 외에 대형 GA도 포함된 것으로 파악됐다.
12일 정보보호업계 등에 따르면, 다크웹에 올라온 지넥슨 유출 자료에 지난주 개인정보보호위원회에 신고한 유퍼스트보험마케팅과 하나금융파인드뿐만 아니라 K사, H사, S사 등 대형 GA부터 중소형까지 다수가 포함돼 있는 것으로 확인됐다.
지넥슨 PC는 지난 1월 24일 처음 감염된 이후 3개월간 유출자료가 수차례 재유포되며 확산했다. 다크웹에 1월 27일 처음 올라온 이후 2월 8, 20일, 3월 2, 4, 5일 등 최소 6회 이상 해커들 사이에서 반복적으로 공유된 것이다.
해당 GA들도 피해 사실를 인지한 후 보안강화 등 자체적인 조치를 취하고 있는 상태다.
금융보안원 관계자는 “현재 유퍼스트보험마케팅과 하나금융파인드 2개 회사를 대상으로 포렌식 작업 중”이라며 “다른 GA 정보 노출도 인지하고 있으며 조사 진행할 예정”이라고 말했다.
개인정보보호위원회 관계자 역시 “개인정보 유출 사고를 신고한 유퍼스트보험마케팅과 하나금융파인드 이외에도 다른 GA 정보가 다크웹에 유출된 사실을 인지하고 있다”며 “유퍼스트보험마케팅과 하나금융파인드, 지넥슨 자료를 받아 로그 기록, 시스템 구조 등을 분석하고 있다”고 말했다.
이어 “이번 사고가 다른 GA에도 영향이 있다고 확인이 되면 조사를 확장할 가능성이 있다”고 덧붙였다.
앞서 지넥슨 임직원의 업무용 개인용컴퓨터(PC)가 인포스틸러 악성코드 '루마C2'(LummaC2)에 감염돼 고객사(GA) 서버의 계정 정보(아이디·비밀번호)가 유출됐다. 루마C2는 서비스형악성코드(MaaS·Malware-as-a-Service)로 2022년 말 처음 등장한 이후 지난해부터 사이버 공격자들이 애용하고 있다. 주로 크롬과 같은 웹 브라우저의 저장 로그인 정보, 암호화폐 지갑 등을 탈취하는 데 사용된다.
이번 지넥슨 해킹 사고 피해가 일파만파 번질 우려가 있는 것은 '자동 로그인'에 있다. 해커가 지넥슨 전사적자원관리(ERP) 관리자 계정정보가 담긴 PC에 심은 루마C2를 통해 빼간 정보가 지넥슨에 그치지 않는다. 지넥슨 ERP 관리자가 고객사 서버의 계정 정보를 브라우저에 자동 로그인으로 저장해 놓은 바람에 고객사 계정정보가 손쉽게 해커 손아귀에 넘어간 것으로 추정된다.
 |
지넥슨 해킹사고로 유출된 법인보험대리점(GA) 계정정보. 사이버인텔리전스 플랫폼 '스텔스모어' 화면 캡처. |
 |
지넥슨의 해킹 사고로 유출된 자료 목록 |
보안 전문가들은 다크웹에 유출된 계정 정보는 실제 사고로 이어질 위험이 크기 때문에 모니터링 체계를 구축할 것을 강조했다. 또 협력업체 해킹 사고가 주관사 피해로 확산하고 있어 상호 협력이 필요하다고 주문한다.
최상명 스텔스모어 인텔리전스 최고개발책임자(CTO)는 “지난 1월에 유출된 계정이 텔레그램과 다크웹을 통해 약 3개월간 유포되고 있었기에 조기에 인지하고 대응했다면 사고를 예방할 수 있었을 것”이라며 “다크웹 인텔리전스 등 사전 모니터링 체계를 마련하고, 협력업체와 보안 협력 체계를 강화해 잠재적인 위협 요소들을 줄여나가야 한다”고 말했다.
조재학 기자 2jh@etnews.com, 박진혁 기자 spark@etnews.com
[Copyright © 전자신문. 무단전재-재배포금지]
이 기사의 카테고리는 언론사의 분류를 따릅니다.
댓글 블라인드 기능으로 악성댓글을 가려보세요!